1. Quem somos e quem é o controlador
A Ágora Tecnologia Educacional Ltda. ("Ágora", "nós") opera uma plataforma SaaS de gestão escolar contratada por instituições de ensino ("Escola").
Nesta política, os papéis sob a LGPD são:
- Ágora como Controladora dos dados de cadastro da Escola (CNPJ, razão social, endereço, dados da direção que assina o contrato).
- Ágora como Operadora dos dados de alunos, responsáveis, professores e demais funcionários inseridos pela Escola, aqui agimos sob instrução da Escola, que é a Controladora desses dados.
Implicação prática: pedidos sobre dados de aluno/responsável/funcionário devem ser feitos à Escola; nós apoiamos a execução. Pedidos sobre dados da própria Escola podem ser feitos diretamente à Ágora.
2. Dados que tratamos
2.1 Da Escola contratante
- CNPJ, razão social, nome fantasia
- Endereço completo
- Dados da direção: nome, e-mail, telefone, senha (hashed)
- Dados financeiros pra cobrança da assinatura
2.2 De usuários (direção, coordenação, secretaria, professores)
- Nome completo
- E-mail (login)
- Telefone
- Senha em hash (nunca em texto plano)
- Papel (role) na escola
- Foto de perfil (opcional)
- Logs de acesso: IP, user-agent, data/hora
2.3 De alunos (crianças e adolescentes, proteção reforçada art. 14 LGPD)
- Identificação: nome, nome social, data de nascimento, gênero, raça/cor (autodeclaração)
- Documentos: CPF, RG, certidão de nascimento, comprovantes
- Endereço residencial
- Filiação: nome dos pais
- Foto (opcional, mediante consentimento)
- Dados de saúde (categoria sensível, art. 11 LGPD): tipo sanguíneo, alergias, medicações em uso, restrições alimentares, necessidades especiais, plano de saúde
- Histórico escolar: notas, frequência, ocorrências, boletins
- Mural da turma: posts, fotos de atividades pedagógicas
- Recados diários (Ed. Infantil): alimentação, sono, banheiro, humor
2.4 De responsáveis (pais/responsáveis legais)
- Nome, e-mail, telefone, CPF, vínculo com o aluno
- Status financeiro (responsável pelas mensalidades)
- Consentimentos assinados eletronicamente
2.5 De uso da plataforma
- Logs de acesso e ações (auditoria)
- IP, navegador, sistema operacional
- Cookies essenciais (sessão, preferências)
- Erros de sistema (anonimizados, via Sentry)
3. Para que tratamos esses dados (finalidades, art. 6º LGPD)
- Operacionalizar a gestão escolar: matrículas, notas, frequência, boletins
- Comunicação: entre escola, professores e famílias
- Cumprir obrigações legais: registros acadêmicos, declarações, censo escolar (Inep)
- Cobrança: emissão e gestão de mensalidades
- Segurança: logs de auditoria, detecção de fraudes
- Melhorar o produto: análise agregada e anônima de uso
Não fazemos: venda de dados, perfilamento publicitário, decisões automatizadas que afetem direitos do titular, treinamento de modelos de IA com dados identificáveis.
4. Bases legais que sustentam cada tratamento (art. 7º e 11)
| Tratamento | Base legal |
|---|---|
| Cadastro da Escola | Execução de contrato (art. 7º V) |
| Registro acadêmico de aluno (notas, frequência) | Cumprimento de obrigação legal (art. 7º II) |
| Comunicação escola-família | Legítimo interesse da escola (art. 7º IX) |
| Dados de saúde do aluno | Consentimento do responsável (art. 11 I) |
| Foto do aluno em mural/galeria | Consentimento do responsável (art. 11 I) |
| Cobrança financeira | Execução de contrato (art. 7º V) |
| Logs de auditoria | Legítimo interesse, segurança (art. 7º IX) |
| Censo escolar (raça/etnia) | Cumprimento de obrigação legal (art. 7º II) |
5. Compartilhamento com terceiros (art. 39)
Compartilhamos dados apenas com sub-operadores essenciais ao funcionamento da plataforma, sob contrato de operação (DPA) que limita uso aos fins descritos:
AbacatePay
Brasil
Finalidade: Processamento de pagamentos (gateway Pix e cartão)
Dados: Dados de cobrança: nome, e-mail, CNPJ, valor
https://abacatepay.comMagalu Cloud
Brasil
Finalidade: Hospedagem da plataforma e armazenamento de arquivos (fotos, documentos, anexos)
Dados: Banco de dados, arquivos enviados pelos usuários, logs operacionais
https://magalu.cloudProvedor de e-mail transacional
A confirmar conforme contratação
Finalidade: Envio de e-mails operacionais (magic links, notificações)
Dados: Nome, e-mail, conteúdo do aviso
Sentry (monitoramento de erros)
Estados Unidos (com DPA assinado)
Finalidade: Captura de exceções pra correção de bugs
Dados: ID anônimo de usuário, URL, stack trace, sem dados pessoais
https://sentry.ioCompartilhamento adicional só ocorre mediante requisição legal de autoridades públicas competentes.
6. Seus direitos como titular (art. 18 LGPD)
Você pode, a qualquer momento, solicitar:
- Confirmação da existência de tratamento dos seus dados
- Acesso aos seus dados
- Correção de dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade
- Portabilidade dos dados pra outro fornecedor
- Eliminação dos dados tratados com seu consentimento
- Informação sobre com quem compartilhamos seus dados
- Revogação de consentimento dado anteriormente
Como exercer:
- Se você tem conta na Ágora (família, funcionário): acesse
Perfil → LGPDe use os botões "Baixar meus dados" ou "Solicitar exclusão". - Se você é responsável por aluno menor: faça pelo seu Portal da Família, ou contate diretamente a Escola.
- Em qualquer caso: e-mail pro encarregado (DPO) em dpo@agoraescolar.com.br.
Respondemos em até 15 dias úteis. Solicitações de exclusão podem ter retenção parcial pra cumprir obrigações legais (histórico escolar, documentos fiscais), esses casos são informados na resposta.
7. Proteção reforçada de crianças e adolescentes (art. 14)
Como todos os alunos são menores, aplicamos cuidados especiais:
- Tratamento sempre no melhor interesse da criança e do adolescente
- Consentimento específico e em destaque dos responsáveis legais pra dados sensíveis (saúde) e imagem
- Verificação de identidade do responsável que dá consentimento
- Vedação de uso pra perfilamento publicitário ou comercialização
- Linguagem simples nos termos quando dirigidos a pais ou às próprias crianças
8. Retenção dos dados (art. 16)
| Tipo de dado | Prazo |
|---|---|
| Histórico escolar, boletins, declarações | 20 anos (obrigação legal) |
| Frequência, notas, ocorrências | 5 anos após o fim do vínculo escolar |
| Documentos fiscais (faturas) | 5 anos (Receita Federal) |
| Logs de auditoria e acesso | 2 anos |
| Mensagens de chat, posts do mural | 2 anos |
| Recados diários (Ed. Infantil) | 1 ano após o fim do ano letivo |
| Cookies de sessão | 30 dias ou logout |
| Dados da Escola após cancelamento | 60 dias pra export, depois exclusão |
Após o prazo, os dados são anonimizados (estatísticas agregadas podem ser mantidas) ou excluídos de bancos ativos e backups dentro de 30 dias adicionais.
9. Segurança da informação (art. 46)
- Infraestrutura na Magalu Cloud (Brasil): banco de dados, arquivos e backups hospedados em data center brasileiro
- Criptografia em trânsito: HTTPS/TLS 1.2+ em todas as conexões
- Criptografia em repouso: AES-256 no banco de dados e armazenamento de arquivos
- Senhas: armazenadas com hash bcrypt (rotina lenta)
- Controle de acesso: RBAC com 6 papéis distintos, isolamento multi-tenant validado
- Auditoria: log de quem fez o quê (edições, exclusões, downloads)
- Backups: diários, criptografados, retenção 30 dias
- Monitoramento: alertas de tentativa de invasão
- Multi-tenant: cada escola é isolada, sem possibilidade de uma ver dados de outra
10. Cookies e tecnologias similares
Usamos apenas cookies essenciais ao funcionamento do serviço (sessão, preferência de tema). Não usamos cookies de tracking, publicidade ou perfilamento. Não usamos pixels de redes sociais.
11. Incidentes de segurança (art. 48)
Em caso de incidente que possa acarretar risco ou dano relevante aos titulares, notificamos:
- A ANPD (Autoridade Nacional de Proteção de Dados) em até 72 horas
- Os titulares afetados em até 5 dias úteis, por e-mail, com detalhes e ações recomendadas
- As Escolas Controladoras imediatamente após detecção
12. Transferência internacional de dados
Mantemos toda a infraestrutura, banco de dados, arquivos e backups, em servidores no Brasil, operados pela Magalu Cloud (nuvem 100% brasileira). Não há transferência internacional dos dados pessoais tratados na plataforma. Eventuais sub-operadores fora do Brasil (caso venham a existir) seguirão o art. 33 da LGPD com cláusulas-padrão e DPA assinado, com aviso prévio nesta política.
13. Encarregado de Proteção de Dados (DPO, art. 41)
A indicar antes da produção
Para dúvidas, reclamações, exercício de direitos do titular ou denúncias relacionadas a tratamento de dados pessoais.
14. Mudanças nesta política
Esta política pode ser atualizada. Mudanças materiais (que afetem direitos do titular ou base legal de tratamento) serão comunicadas por e-mail aos usuários ativos com 15 dias de antecedência. A versão vigente fica sempre disponível em https://app.agoraescolar.com.br/privacidade.
Versão atual: v1.0.0 · Em vigor desde 2026-05-26
15. Reclamações à ANPD
Se você não estiver satisfeito com a resposta da Ágora ou da Escola sobre o tratamento dos seus dados, pode reclamar diretamente à Autoridade Nacional de Proteção de Dados em gov.br/anpd.